Proactief op bedreigingen zoeken met geavanceerde jacht

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Geavanceerd zoeken is een op query's gebaseerd hulpprogramma voor bedreigingsjacht waarmee u tot 30 dagen onbewerkte gegevens kunt verkennen. U kunt gebeurtenissen in uw netwerk proactief controleren om bedreigingsindicatoren en entiteiten te zoeken. De flexibele toegang tot gegevens maakt ongebreidelde jacht mogelijk op bekende en potentiƫle bedreigingen.

Bekijk deze video voor een kort overzicht van geavanceerde jacht en een korte zelfstudie om snel aan de slag te gaan.

U kunt dezelfde query's voor het zoeken naar bedreigingen gebruiken om aangepaste detectieregels te maken. Deze regels worden automatisch uitgevoerd om te controleren of en vervolgens te reageren op verdachte inbreukactiviteit, verkeerd geconfigureerde machines en andere bevindingen.

Tip

Gebruik geavanceerde jacht in Microsoft 365 Defender om te zoeken naar bedreigingen met behulp van gegevens van Defender voor Eindpunt, Microsoft Defender voor Office 365, Microsoft Cloud App Security en Microsoft Defender voor identiteit. Schakel de Microsoft 365 Defender.

Meer informatie over het verplaatsen van uw geavanceerde zoekwerkstromen van Microsoft Defender voor Eindpunt naar Microsoft 365 Defender in Geavanceerde zoekquery's migreren vanuit Microsoft Defender voor Eindpunt.

Aan de slag met geavanceerde jacht

Ga door de volgende stappen om uw geavanceerde kennis op het gebied van de jacht op te bouwen.

We raden u aan om verschillende stappen uit te voeren om snel aan de haal te gaan met geavanceerde jacht.



Learning doel Omschrijving Resource
De taal leren Geavanceerd zoeken is gebaseerd op de querytaal Kusto,die dezelfde syntaxis en operatoren ondersteunt. Begin de querytaal te leren door de eerste query uit te voeren. Overzicht van querytaal
Meer informatie over het gebruik van de queryresultaten Meer informatie over grafieken en verschillende manieren waarop u uw resultaten kunt bekijken of exporteren. Ontdek hoe u snel query's kunt aanpassen en kunt inzoomen om uitgebreidere informatie te krijgen. Werken met queryresultaten
Meer informatie over het schema Krijg een goed, goed inzicht in de tabellen in het schema en de kolommen. Informatie over waar u gegevens kunt zoeken bij het maken van query's. Schemaverwijzing
Vooraf gedefinieerde query's gebruiken Verken verzamelingen van vooraf gedefinieerde query's met verschillende scenario's voor het zoeken naar bedreigingen. Gedeelde query's
Query's optimaliseren en fouten verwerken Meer informatie over het maken van efficiƫnte en foutloze query's. Query-best practices

Verwerkingsfouten

De meest volledige dekking krijgen Gebruik auditinstellingen om een betere gegevensdekking voor uw organisatie te bieden. Geavanceerde dekking voor jagen uitbreiden
Een snel onderzoek uitvoeren Voer snel een geavanceerde query uit om verdachte activiteiten te onderzoeken. Snel zoeken naar entiteits- of gebeurtenisgegevens met go hunt
Bedreigingen bevatten en compromissen aanpakken Reageren op aanvallen door bestanden te quarantineren, app-uitvoering te beperken en andere acties Actie ondernemen voor geavanceerde resultaten van query's
Aangepaste detectieregels maken Meer informatie over hoe u geavanceerde zoekquery's kunt gebruiken om waarschuwingen te activeren en automatisch antwoordacties uit te voeren. Overzicht van aangepaste detectie

Aangepaste regels voor detectie

Gegevensverfheid en updatefrequentie

Geavanceerde zoekgegevens kunnen worden gecategoriseerd in twee verschillende typen, elk op een andere manier samengevoegd.

  • Gebeurtenis- of activiteitsgegevens: hiermee vult u tabellen over waarschuwingen, beveiligingsgebeurtenissen, systeemgebeurtenissen en routinebeoordelingen. Advanced hunting ontvangt deze gegevens vrijwel direct nadat de sensoren die ze verzamelen deze met succes naar Defender voor Eindpunt verzenden.
  • Entiteitsgegevens: Hiermee worden tabellen gevuld met samengevoegde informatie over gebruikers en apparaten. Deze gegevens komen uit zowel relatief statische gegevensbronnen als dynamische bronnen, zoals Active Directory-items en gebeurtenislogboeken. Als u nieuwe gegevens wilt verstrekken, worden tabellen elke 15 minuten bijgewerkt met nieuwe informatie, zodat rijen worden toegevoegd die mogelijk niet volledig zijn ingevuld. Elke 24 uur worden gegevens samengevoegd om een record in te voegen die de meest recente, meest uitgebreide gegevensset over elke entiteit bevat.

Tijdzone

Tijdinformatie in geavanceerde jacht bevindt zich momenteel in de UTC-tijdzone.